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摘 要 : 魏 松 杰 等 人 提出 一 种 基于 安全 仲裁 SEM(Security Mediator) 的 mIBS(identity based signature) 方 案 ， 利 用 SEM 


节点 实现 用 户 身份 实时 撤销 。mIBS 方案 中 ，SEM 持 有 部 分 用 户 私 钥 ， 与 签名 者 共同 完成 签名 。 文 章 对 mIBS 方案 
进行 了 安全 性 分 析 , 发 现 该 方案 存在 严重 安全 缺陷 , 并 给 出 一 个 具体 的 攻击 实例 。 在 攻击 实例 中 , 签名 者 通过 与 SEM 
的 一 次 正常 签名 交互 ， 窃 取 SEM 持 有 的 部 分 私 钥 ， 进 而 绕 开 SEM 单独 实施 签名 ， 使 得 SEM 失效 。 文 章 提出 一 种 
改进 的 mIBS 方案 ( 记 为 mIBSG)， 对 SEM 持 有 的 部 分 私 钥 增 加 了 随机 性 保护 。 进 一 步 ， 文 章 建 立 了 mIBS 方案 安全 
模型 mEUF-CMIA(existential unforgeability under adaptive chosen message and identity attacks)， 重 点 讨论 了 其 敌手 模 
型 。 除 传统 IBS 敌手 外 ，mEUF-CMIA 模型 定义 第 2 种 类 型 敌手 模拟 一 个 恶意 但 合法 的 签名 者 ， 通 过 访问 随机 预言 
机 ， 在 没有 SEM 参与 的 情况 下 独立 产生 签名 。 在 mEUF-CMIA 模型 下 ，mIBSG 方案 的 不 可 伪造 性 被 规约 为 求解 循 
环 群 上 的 CDH 问题 。 对 比分 析 表 明 ，mIBSG 方案 以 较 小 的 计算 代价 实现 了 可 证 明 安 全 性 。mIBSG 方案 可 用 于 构建 
基于 IBC 的 跨 域 认证 系统 。 
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Analysis and improvement of mIBS scheme 


Chen Ming, Leng Jianhua 
(School of Mathematics & Computer Science, Yichun University, Yichun Jiangxi 336000, China) 


Abstract: Wei Songjie et al. proposed an identity-based signature Scheme (named mIBS) , and used a security mediator (SEM) 
node to realize real-time revocation of entity identity in the mIBS scheme. The SEM held a part of the signature key, and 
generated a signature by working collaboratively with a signer. This paper analyzed the security of the mIBS scheme, found 
it had serious security flaws, and presented a specific attack instance. In the attack instance, a signer can stole the key held by 
the SEM through once normal signature interaction with a SEM, and then bypassed the SEM to implement a signature 
independently. This paper proposed an improved signature Scheme (named mIBSG) . The mIBSG scheme remedied the 


re security flaws of the original scheme by randomizing the private key held by the SEM. Further, this paper established a security 
> model for mIBS scheme, named mEUF-CMIA, and defined a new type of adversary that simulated malicious but legitimate 
signers. The new adversary had the power to generate a forged signature independently through asking random oracles. Based 


on the new security model, this paper deduced the unforgeability of the mIBSG scheme as solving the CDH problem on a 
cyclic group. Comparative analysis showed that the mIBSG scheme achieved provable security with a small calculate 
efficiency loss. The mIBSG scheme can be used to build an IBC-based cross-domain authentication system. 

Key words: identity based cryptography; digital signature; computational diffie-hellman problem; random oracle model 


0 引言 管 、 信 任 域 网 络 规模 较 小 等 缺点 。 部 分 研究 提出 无 证 书号 7 或 
于 自 证 书 B9] 等 方案 以 解决 IJBC 中 的 密 钥 托管 问题 ; 另 一 些 研究 
基于 身份 密码 学 [1 (identity based cryptography, IBC) 是 则 借鉴 PKI、 区 块 链 等 技术 和 方法 以 扩大 IBC 域 的 网 络 覆盖 
Shamir 在 CRYPTO’84 会 议 上 首次 提出 。IBC 系统 将 用 户 标 ”范围 no-2。 区 块 链 技术 具有 去 中 心 化 和 数据 不 易 被 窜改 等 优 
识 作为 用 户 公 和 钥 ， 用 户 私 钥 由 KGC(key generation center) 利 点， 利用 区 块 链 技术 构建 去 中 心 化 的 信任 域 ， 可 以 确保 跨 域 
用 其 主 密 钥 生成 并 与 用 户 标 识 关联 。IBC 系统 无 须 建立 复杂 ”认证 模型 内 第 三 方 服务 器 的 可 信 性 。 近 来 ， 多 位 研究 者 提出 
的 PKI (public key infrastructure)， 避 免 了 公 角 证书 管理 的 沉 基于 区 块 链 技术 的 跨 域 认证 模型 和 方案 。 马 晓 婷 等 人 0 基于 
重负 担 。 直 到 2001 年 ，Boneh 和 FranklinD 基 于 双 线 性 映射 国 密 SM9 ,采用 区 块 链 技术 构建 了 PKI 与 IBC 联盟 链 模型 ， 
理论 提出 一 种 有 效 的 IBE(identity-based encryption) 方 案 。 随 ” 及 其 该 模型 下 的 跨 域 认证 方案 ; 黄 穗 等 人 03 也 提出 了 基于 区 
后 ，IBC 的 研究 成 为 一 个 热点 。2007 年 ，RFC5091B] 草 案 将 块 链 的 跨 域 认证 模型 ， 通 过 智能 合约 在 区 块 链 上 构造 布谷 鸟 
Boneh-FranklinD 算 法 推荐 为 基于 身份 加 密 标 准 ， 标 志 着 IBC ”过 滤器 ,解决 大 规模 证 书 查 询 请 求 的 性 能 问题 ， 魏 欣 等 人 04 
体制 的 标准 化 工作 正式 开启 。2020 年 ， 随 着 《信息 安全 技术 结合 区 块 链 与 边缘 计算 思想 ， 构 建 了 一 种 适用 于 物 联 网 的 跨 
SM9 标识 密码 算法 第 1 部 分 : 总 则 》 上 四、《 信 息 安全 技术 SM9 域 认 证 架构 ， 通 过 引入 边缘 网 关 屏 蔽 物 联网 的 底层 异 构 性 ， 
标识 密码 算法 第 2 部 分 : 算法 》 后 获得 批准 ，SM9 正式 成 为 增强 节点 隐私 保护 ; 张 亚 兵 等 人 [提出 多 层 区 块 链 的 跨 域 认 
IBC 算法 国家 标准 ， 并 逐步 进入 行业 应 用 阶段 。 证 方案 ， 引 入 委托 权益 证 明 来 评估 节点 的 可 信和 度 ， 解 决 跨 域 
然而 ，IBC 机 制 在 拥有 诸多 优点 的 同时 ， 也 存在 密 钥 托 ”访问 时 存在 的 多 个 管理 域 相互 信任 问题 ; 魏 松 杰 等 人 [2 提 出 
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种 基于 IBC 和 区 块 链 的 跨 域 认证 协议 , 定义 了 基于 仲裁 的 
IBC 域 结构 ,并 提出 基于 仲裁 的 身份 签名 mIBS 和 认证 方案 。 
在 基本 IBC 系统 基础 上 ，mIBS 方案 中 引入 安全 仲裁 SEM 


(Security Mediator) 具 体 实施 对 用 户 标 识 和 密 钥 的 撤销 与 核验 。 


但 是 ， 魏 松 杰 等 人 HJ 对 mIBS 方案 的 安全 性 分 析 比 较 简单 ， 
没有 定义 合理 的 安全 模型 ， 存 在 严重 的 安全 缺陷 。 
本 文 的 主要 工作 包括 三 个 方面 ，a) 对 魏 松 杰 等 人 [3 提出 
的 mIBS 方案 进行 了 全 面 的 安全 性 分 析 。 与 传统 的 基于 身份 
签名 方案 不 同 , mIBS 方案 存在 两 类 敌手 , 除 传统 敌手 外 , 一 
个 恶意 的 签名 者 也 能 对 算法 形成 攻击 。 本 文 给 出 了 一 个 针对 
mIBS 方案 的 攻击 实例 ,签名 者 通过 与 SEM 的 一 次 正常 交互 ， 
获取 了 SEM 持 有 的 部 分 私 铀 ， 进 而 可 以 绕 开 SEM， 实 施 独 
立 的 签名 认证 。b) 提 出 了 改进 的 mIBS 方案 ， 记 为 mIBSG 方 
案 ， 改 进 方案 主要 针对 mIBS 方案 的 缺陷 进行 了 算法 增强 。 
c) 以 EUF-CMIA (existential unforgeability under adaptive 
chosen message and identity attacks) 模 型 09 为 基础 ， 定 义 了 
mIBS 方案 的 安全 模型 ， 对 两 类 敌手 的 行为 进行 了 形式 化 定 
义 。 然 后 ， 采 用 新 的 模型 对 mIBSG 方 案 进 行 了 安全 规约 ， 将 
mIBSa 方案 的 安全 性 规约 为 求解 定义 在 循环 群 上 的 
CDH(computational Diffie-Hellman) 问 题 。 对 比分 析 表 明 ， 改 
进 方案 以 较 小 的 计算 代价 实现 了 方案 的 可 证 明 安全 性 。 


1 ”背景 知识 


本 节 简 要 介绍 相关 的 数学 背景 知识 ， 详 细 内 容 可 以 参考 
文献 [17]。 

双 线 性 映射 : 给 定安 全 参数 ,初始化 产生 阶 为 大 素数 
(p>2”) 的 循环 群 (G1,+) 和 (G2,x), 令 P 了 为 G1 的 生成 元 , 如 果 给 
定 的 映射 e: G1xG1 一 G3 满足 下 列 性 质 , 则 e 是 从 Ci 到 G2 的 
一 个 双 线 性 映射 。 

a) 双 线 性 : 
e(U®,V?)=e(U,V)® 。 

b) 非 退 化 性 : e(P,P)z1。 

c) 可 计算 性 : 给 定 U,VeG ， 能 有 效 计算 e(U,V) 。 

CDH 问题 : 对 于 任意 未 知 的 4,5eZ ,给 定 P,aP,bP eG， 
求解 abP 。 

CDH 假设 : 如 果 不 存在 多 项 式 时 间 算 法 在 时 间 上 内 以 至 
少 e 的 概率 求解 CDH 问题 ， 那 么 称 (e, 六 CDH 假设 在 Cl 上 
成 立 。 

本 文 研究 的 算法 以 CDH 假设 为 基础 。 


2 mlBS 方案 分 析 


本 节 首 先 简要 回顾 文献 [12] 提 出 的 mIBS 方案 ， 然 后 对 
其 安全 性 进行 分 析 ， 提 出 有 效 的 攻击 实例 。 
2.1 mlBS 方案 介绍 
文献 [12] 提 出 一 种 基于 IBC 和 区 块 链 的 跨 域 认证 协议 ， 
并 且 提 出 一 种 mIBS 方案 用 于 在 跨 域 认证 中 对 信息 服务 实体 
ISE 进行 认证 。 为 了 解决 基于 身份 密码 系统 中 对 实体 身份 的 
撤销 等 有 效 管理 ， 在 mIBS 方案 中 引入 安全 仲裁 (Security 
Mediator, SEM)， 其 系统 框架 如 图 1 。 
在 图 1 所 示 的 IBC 系统 中 ， 密 钥 生 成 中 心 KGC 为 用 户 
生成 两 部 分 的 私 钥 ， 其 中 一 部 分 发 回 给 用 户 ， 而 男 一 部 分 私 
钥 发 送 给 SEM。 当 用 户 需 要 进行 签名 的 时 候 ， 首 先 向 SEM 
申请 签名 信 令 ， 然 后 根据 SEM 返回 的 签名 信 令 生成 完整 的 
签名 。 有 具体 步骤 简单 描述 如 下 。 
Setup: 给 定 系统 参数 (%, p, P, G1, G2, e) 如 第 1 节 所 述 ， 
然后 选择 密码 哈 希 函数 五:{0, 直 二 G? 和 本 :{0, 路 xGi 一 2Z,， 划 
中 ，G 和 G 分 别 表 示 G/0 和 CD 。KGC 随机 选择 
sell,p-1] 作为 系统 主 密 钥 , 计算 Bw=[sJPeG 作为 系统 主公 钥 ， 


给 定 U,VeG 和 任意 的 4beZ， 有 
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密 钥 s， 并 公 


其 中 ，[] 表示 取 整 运算 。KGC 秘密 保存 系统 了 
开 系 统 参数 pp=(%, p, P, G1, Ge, Phuo, Hi, )。 

KeyGen: 用 户 提 交 身 份 标识 IDe{0,!}，KGC 首先 计算 
Po=Hi(1ID)e Gr ，diw=[s]Pp eG? ， 然 后 随机 选择 wp ell,p-1] 并 计 
算 d 淳 =[sp]PBo,d 汶 :=dp 一 d 淳 =[s--sp]Pp。KGC 将 d 洲 通过 安全 
信道 发 送 给 用 户 ， 将 器 ' 通过 安全 信道 发 送 给 SEM。 

Sign: 按 如 下 步骤 计算 消息 签名 。 

a) 给 定 消息 me{0,1} ， 用 户 随机 选择 ReG 和 keZ,， 计 
算 g=e(kB,P) ，g = 本 (m,q) 和 Sw= 妇 +8d 洲 ， 向 SEM 发 送 签 
名 信 令 请 求 (ID, q, g, Suser)。 

b) SEM 收 到 CD， q, 8，Suser) 后 ， 首 先 检索 用 户 JD， 若 该 
身份 已 被 撤销 则 停止 ， 否 则 计算 Ssevw = gd 路 和 5, = Sw +Ssev ， 
然后 计算 Bp=H(D) 和 4 =e(5,,P)e(PBop,-PBw)s ;判断 4q'=g 是 否 
成 立 ， 若 成 立 则 发 送 Ssem 给 用 户 。 

c) 用 户 收 到 Ssev 后 ， 按 b) 的 方式 计算 5, 和 gq ， 若 4=4 
成 立 则 输出 签名 CD, m, g, % )， 否 则 重新 申请 签名 信 令 。 

Verify: 对 签名 (1D, m,g, 5 ) 的 验证 。 首 先 按照 Sign 算法 
中 b) 的 方式 计算 9 ,然后 计算 8'=H(m,9”) ,如 果 g'=8 成 立 ， 
则 接受 签名 。 


[TT 


用 户 另 一 部 分 私 钥 ”SC 


图 1 基于 SEM 的 IBC 系统 
Fig. 1 SEM-based IBC system 
2.2 mlBS 方案 安全 性 分 析 
文献 [12] 对 mIBS 方案 进行 了 简单 的 安全 性 分 析 ， 没 
建立 完整 的 安全 模型 。 由 于 mIBS 方案 中 引入 SEM 实体 ， 
且 将 用 户 的 私 钥 分 成 了 两 个 部 分 ， 因 此 ， 针 对 IBS 方案 的 
EUF-CMIA 模型 04 在 本 方案 中 不 完全 适用 。 本 节 将 提出 一 种 
针对 mIBS 方案 的 新 攻击 方法 。 
首先 ， 原 方案 中 存在 一 定 的 计算 错误 概率 。 具 体 来 说 ， 


在 签名 验证 计 算 式 gd 六 +gd3M=g([sp]+[s—siw])Po 中 ， 等 式 
([sw]+[s 一 sw])=[s] 并 不 一 定 成 立 。 这 会 使 得 用 户 的 私 钥 无 效 。 


由 于 真实 密码 算法 的 密 钥 非 常 大 ， 这 里 以 小 的 模 数 p = 
23 来 举例 说 明 ， 即 : s,sip e[,22] 。 

根据 Setup 算法 和 KeyGen 算法 ， 假 设 KGC 随机 选择 
s=10.3，sip=5.7， 以 上 下 取 整 为 例 ， 则 [s]=[10.3]=10， 
[szp]=[$.7]=6, [s-s1p]= [10.3-5.7]=[4.6]=5, 那么 : ([sip]+[s - sp]) 
=11z#[s]。 如 果 采 用 上 取 整 或 下 取 整 也 存在 类 似 情 况 。 简 单 估 
算 ， 上 述 错误 概率 接近 1/2。 一 种 改进 方法 是 : 在 KeyGen 算 
法 中 ， 对 (so]+[s-so])=[s] 进行 验算 ， 如 果 等 式 成 立 则 输出 私 
钥 ， 如 果 不 成 立 ， 则 重新 选择 私 钥 ， 使 得 等 式 成 立 。 更 一 般 
的 解决 方案 是 : 主 密 钥 s 和 用 户 秘密 si 从 2; 中 随机 选择 。 
另外 ， 文献 [12] 将 对 Sseu=8G-sp)Po 的 攻击 规约 为 求解 
离散 对 数 问 题 ， 即 ， 求 解 6-so) 。 这 一 规约 路 径 是 错误 的 ， 
丸 为 SEM 持 有 的 部 分 私 钥 是 (5-sp)Pp eGr ， 而 不 是 CC-so) 。 
羽 此 ， 攻 击 者 只 需要 获得 6-so)P 就 可 以 伪造 任何 的 签名 信 
令 SsEM =g8"(s—sp)PDp » 使 得 8 了 8 且 Ssem SsEM o 进而 ， 签名 者 可 
以 绕 开 SEM， 实 施 独立 的 签名 ， 使 得 SEM 无 效 ， 有 具体 签名 
过 程 简单 描述 如 下 。 这 里 忽略 上 述 计 算 错 误 ， 即 假定 用 户 的 
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私 钥 是 有 效 的， 满足 : 等 式 (sp]+[s-so])=[s] 成 立 的 条 件 。 
个 有 效 的 Ssem = 8(s-sip)Po 后 ， 


首先 求 g 关于 


a) 签名 者 从 SEM 收 到 


modp 的 乘法 逆 元 8*e2,， 即 ， 


陈 明 ， 等 : 


gg=lmodp 。 


Pp 为 素数 ， 


姑 此 一 定 存在 87 <Z ， 


然后 , 计算 4 小 ' 
描述 简洁 ， 在 非 必要 的 场景 下 ， 文 中 关于 循环 群 上 的 运算 表 


gSsem = 8 18(s— sp)Pp 


达 式 省 略 了 modp 运算 。 
b) 给 定 消息 me{0, 直 ， 签 名 者 随机 选择 PeG 和 keZ， 


计算 4 =e(kB,P) ， 


1 一 or71SEM 
Ssem = 8 d 沪 


可 以 验证 : 


e(S»,P):e(Po,—P)® = 


e(k'P'+ gd +g8'dB™,P).e(Po,—Pw)® = 
e(k'P",P).e([s]Pp,P)® :e(Po,[s]P) * =e(k'P',P)=4 


可 见 , 由 于 签名 者 境 


立 实施 对 任意 消息 的 签名 ， 攻 击 成 立 。 


3 ”改进 的 mlBS 方案 及 其 安全 性 分 析 


本 章 首先 对 原 有 mIBS 方案 的 改进 


然后 讨论 其 安全 模型 ， 并 对 改进 方案 进行 安全 性 分 析 。 
3.1 mlBS 方案 改进 
考虑 2.2 节 中 对 mIBS 方案 的 伪造 攻击 。 


键 原因 是 在 SEM 签署 的 签名 信 令 


才 


钥 4 器 ' 的 随机 4 


名 过 程 直接 恢复 出 


多 项 式 时 间 可 计算 。 
(s—sip)Pp 。 


注意 , 为 了 


MIBS 方案 的 分 析 与 改进 


的 是 防止 签名 者 各 


用 部 分 私 钥 器 ' 对 签名 请 求 消息 8=H,(m,q) 的 签名 ， 主 要 目 
F 意 蔡 换 消 息 g， 确 保 了 签名 者 每 次 签名 都 
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必须 请 求 SEM 产生 一 个 新 的 签名 信念 。 
且 随 机 的 BeG, 
部 分 私 钥 d 洲 ,都 面临 求解 CDH 问题 。 详 


8'=H(m,q) 和 Sw =kB'+gd 洲 ， 然 后 计算 
5% = Swer +Ssew ， 输 出 签名 (1D,q',8",5,) 。 


(1) 


得 了 SEM 持 有 的 部 分 私 钥 , 可 以 独 


方案 ， 记 为 mIBSo， 


攻击 形成 的 关 


Ssev = 8d3M 中 缺少 对 部 分 私 


生 保护 ， 导 致 恶意 的 签名 者 通过 
SEM 持 有 的 部 分 私 钥 .器 ' 。 


次 确定 的 签 
因此 , 本 文 的 


改进 方案 则 在 原 方案 的 基础 上 , 在 Sign 算法 中 添加 对 d 淳 ' 的 


随机 性 保护 ， 


体 描述 如 下 。 


mIBSe 方案 不 改变 原 有 方案 的 总 体 相 
(Setup) 和 密 铀 台 
参数 中 增加 密码 哈 希 函数 全 :2,xG 一 27 ; 


KGC 检验 等 式 


FE 成 (KeyGen) 与 本 相 


原 方案 基 


LI 


是 否 成 立 , 如 


([siw]+[s— sD)=[s 


生成 密 钥 ， 直 到 等 式 成 立 。 签 名 和 签名 签证 过 程 如 下 所 述 。 


匡 架 ， 系 统 建立 


问 
钥 


四 
个 


Sign: 按 如 下 步骤 计算 消息 签 


a) 给 定 消 
算 q1=e(B,P) ， 


息 me{0,1}y ，】 


息 签名 。 


8 =H,(m,q) 和 Su =kP + gd ， 


名 信 令 请 求 (1D， d1 8， Suser)o 
b) SEM 收 到 (1D， ql1, 9， Suser) 后 ， 首先 检索 用 户 7D， 若 该 


身份 已 被 撤销 则 停止 ， 否 贝 


r=H;(g8,4,) ， 


c) 用 


a 


j 户 随机 选择 ReG 和 keZ,， 计 
向 名 


请 见 本 文 3.2 节 。 


3.2 


同时 , 由 于 存在 新 鲜 
任何 敌手 想 要 从 Ssem =r(B+8d 洲 ') 中 恢复 出 
的 安全 性 分 析 ， 


mlBSG 方案 安全 性 分 析 


本 节 


进行 安全 性 规约 。 


3.2.1 mIBS 


安全 模型 


面 


首先 


可 顾 基本 的 EUF-CMIA 模型 44。 


首先 建立 mIBS 方案 安全 模型 ， 然 后 对 mIBSG 方 案 


定义 敌手 A 与 模拟 器 B 之 间 的 EUF-CMIA 游戏 如 下 。 


系统 建立 : 
创建 入 个 


于 挑战 的 
询问 


这 里 要 求 A 不 能 询问 ID* 的 
Sign 询问 。A 提交 (1D， 
伪造 :询问 阶段 结束 以 


定义 


用 
:A 


KeyGen 询 


B 执行 Setup 算法 ， 公 开 系 统 公 
用 户 的 身份 集合 Op ={1D,,..., IDy}, 
户 身 份 ID* e Ow 。 
适应 地 执行 多 项 式 时 间 有 界 次 的 询问 。 


参数 pp， 
且 随 机 选择 用 


问 。A 提交 用 


户 身份 万, B 返回 其 私 钥 skip。 


私 钥 。 
后 , A 输出 伪造 签名 CD” mm, o)。 


1 对 IBS 方案 3=(Setup,KeyGen,Sign,Verify)， 敌手 A 


在 选择 身份 攻 


EF 下 的 优势 定义 为 


EUF-CMIA 一 
Adv 式 三 


pp ¢- Setup(1*) 
Pr| (1D, sk) <¢— KeyGen(pp,1D) : 


(m’,0*) 多 A ) (pp) 
其 中 ，Osn0 是 一 个 签名 预言 机 ， 模 拟 Sign 询问 ,集合 av 存 


m* ¢ On 入 
Verify(ID’*,m’ ,0*)= 


储 已 完成 签名 询问 的 消息 m 及 其 对 应 的 签名 应 答 o。 如 果 对 


。 在 系统 公开 
生成 阶段 要 求 
不 成 立 则 重新 


SEM 发 送 签 


| 随机 选择 BeG, 计算 g,=e(B,P)， 
Ssev =r(B + gd) 和 5, = rw + Ssem ， 
Pp=Hi(1D) ， 并 验证 等 式 (4q14;) =e(5,,P):e(Pp,Pn) 
若 成 立 则 发 送 (gq,,5sem) 给 | 
户 收 到 (qs,Ssem) 后 , 计算 r= 可 (8,q;)， 以 及 完整 签名 


5% =7Swer +Ssew ， 验 证 等 式 (0 497 =e(5%,P)e(Po,fw)" 是 否 成 立 ， 


然后 计算 


是 否 成 立 ， 


若 成 立 则 输出 签名 (1D,m, q1, qz, 5, ), 否则 重新 申请 签名 信 令 。 


Verify: 对 签名 (1D,m, gl gz, 5% ) 的 验 训 


计算 8=H(m,4) ，r7=H3(8,q;)) 和 Po=Hi(ID) ， 然 后 验证 等 式 


E。 签名 验证 者 首先 


引 理 


自 适应 地 完成 随机 
概率 < 和) 输出 一 个 有 


存在 一 个 算法 刀 利用 A， 


签名 天 = (ID',m,gi ,7,8',5%) 和 oo = (1D',m',9i,4;,7,8",S,) ， 使 


得 "zr 和 人 8g*zg8' 成 立 。 


(forking lemma), 


引 理 1 是 数字 签名 安全 
Pointcheva 等 人 首次 引入 。 本 文安 全 


也 引 上 


这 一 引 理 。 
根据 2.2 节 的 分 析 , mIBS 方案 与 基本 IBS 方案 存在 较 大 
差异 ， 同 时 存在 两 类 敌手 。 


不 可 伪造 性 。 
1 令 3 是 一 种 数字 签名 机 和 
是 一 个 概率 多 项 式 时 


于 任意 多 项 式 时 间 敌 手 A， 有 Adv 叶 Se =neglQ%) 成 立 , 则 称 3 
在 选择 身份 攻击 下 具有 


LE 


， 其 安全 参数 为 。A 


间 图 灵机 ， 其 输入 为 公开 参数 。A 可 以 
预言 机 (random oracle, RO) 询 问 , 假设 A 以 
效 的 签名 CO = (ID’,m’ 0793 大, 8 95) 了 则 


在 多 项 式 时 间 内 产生 两 个 有 效 的 


[18] 


性 证 明 中 


泛 采 用 的 分 又 引 理 


击 目标 是 伪造 完整 的 签名 ; 
攻击 目标 是 伪造 签名 信 令 。 
应 对 姓 


(97 =e(Sm,P)e(Pp,Bw)“ 是 否 成 立 ， 若 成 立 则 接受 签名 。 


可 以 验证 : 


e(S,,P):e(Pp, Pw) "= 


e(rkP +rgdi +rh +rgd8B™,P):e(Po, Pw) "= 


e(rkR,P)-e(rB,P)e(diy" + dB", P)'s e(Po, Pw) = 


GO) 


e(kP,P)":e(B,P)' :el[slPo,P) :e(Pip,[s]P)™ = 


式 (2) 可 得 ，mIBS6 方 案 具 


(9 02 


在 mIBSG 方案 中 ， 在 Sign 
随机 选择 的 eG， 并 
行 了 绑 定 。 由 于 BB 是 随机 的 ， 


了 可 验证 正确 性 。 

和 法 的 b) 步 又 ， 本 文 增加 了 
利用 r=H(8,q;) 将 g 与 4 =e(B,P) 进 
因此 从 任何 敌手 的 视角 来 看 ， 


和 =e( 忆 ,六 也 是 随机 的 。 本 质 上 ， 签名 信念 (qs,Ssem) 是 SEM 采 


CMIA 模型 。 
F-CMIA 模型 的 主要 变化 在 于 刻画 敌手 的 能 力 。 对 


mEU 


于 第 1 类 敌手 


， 限制 


手 , 允许 


另 一 部 分 私 铀 (4 器 


)。 此 尹 


其 询问 ID* 
其 询问 万 ' 的 部 分 私 钥 (4 算 ), 而 不 允许 其 询问 ID: 的 
,针对 两 类 敌手 提交 的 Sign 询问 ， 


异型 


第 1 类 是 传统 的 IBS 敌手 ， 其 攻 
第 2 类 敌手 是 恶意 的 签名 者 ， 其 
因此 ， 对 mIBS 方案 的 分 析 模 型 


本 的 EUF-CMIA 模型 进行 调整 ， 本 文 定 义 为 mEUF- 


的 完整 私 钥 :对 于 第 2 类 政 


模拟 器 B 


3.2.2 mIBSG 方案 安全 ， 

本 节 对 mIBS6 方案 进 
证 明 其 在 选择 身份 和 选择 消 
首先 对 规约 过 程 进行 简单 的 非 


应 答 


的 方式 也 有 所 区 别 。 具 
生 证 明 


体内 容 见 3.2.2 节 。 


行 安全 性 规约 ， 基 于 CDH 假设 ， 


息 攻 击 下 有 具 


了 不 可 伪造 性 。 
EB 式 化 分 析 。 给 定 CDH 实 


例 (P,aP,pP) ， 令 KGC 的 主公 钥 为 apP ， 令 有 (ID*)=bP (ID: 为 


挑战 用 


户 身份 )， 则 ID* 的 私 钥 为 do =d 淳 +d 注 =[sJPp=abP 。 在 


mEUF-CMIA 游戏 中 ，KGC 的 主 密 钥 [s]=a 是 未 知 的 ， 因 此 


202206.00055v1 


国 
国 


IV 


china 


录用 定稿 


陈 明 ， 


ID* 的 完整 私 钥 dw 包含 了 一 个 CDH 问题 的 实例 。 通 过 游戏 


模拟 ， 模 拟 器 B 利用 
例 。 如 果 CDH 假设 成 立 , 那么 B 


A 输出 ID* 签名 来 求解 该 CDH 问题 实 


成 功 的 优势 是 可 以 忽略 的 ， 


从 而 反 证 A 成 功 伪造 1D 签名 的 优势 也 是 可 以 忽略 的 。 


在 基于 随机 预言 机 的 安全 模 


型 中 ， 哈 希 函 数 通常 被 替换 


为 哈 希 询问 ， 称 为 哈 希 预言 机 (Hash Oracle)。 


定理 1 
足 EUF-CMIA 安全 。 
证 明 假设 存在 多 项 式 时 间 
破 mIBSG 方 案 , 本 文 将 构建 一 个 
间 内 解决 CDH 问题 。 给 定 CDH 
与 A 的 mSID-EUF-CMA 游戏 。 


如 果 CDH 假设 成 立 ， 那 么 本 文 mIBS6 方案 满 


敌手 A 以 不 可 忽略 的 优势 攻 
算法 B 利用 A, 在 多 项 式 时 
实例 (P,aP,bP) ， 下 面 模拟 B 


f 


系统 建立 : B 运行 Setup 算法 , 产生 系统 公开 参数 pp=()， 


D,P, G1, Ge, Poub, 创 建 WX 个 用 


户 的 身份 集合 Op ={1D,,..., IDy}, 


并 将 pp 和 Ow 发 送 给 A。 其 中 
未 知 。 
随机 预言 机 假设 ， 模 拟 过 程 中 ， 
哈 希 函数 (i, 殉 , Hi3)。 

询问 : A 自 适应 地 执行 多 项 
护 初 始 为 空 的 列表 (Li, L2, La, Le 

Hi 询问 ,A 提交 了 H(D) 询问。 
则 直接 返回 了; 否则 , 如果 1D; eOw 
计算 =tiP ,将 UD,i,P) 插 入 集合 
将 UD',1,B) 插 入 集合 Li。 最 后 将 

了 询问 。A 提交 HL0m,4) 询 


B 随机 选择 用 于 挑战 的 用 户 身份 1D' Ow 。 


Pw=aP ， 即 系统 主 密 钥 s=a 
注意 ， 根 据 
用 哈 希 询问 (Hi, H2, Hs) 蔡 换 


式 时 间 有 界 次 的 询问 。B 维 
On )。 
如 果 友 在 列表 Li 中 存在 
入 ID;#1D' ,B 随机 选择 *sZ2 ， 
Li; 如 果 1D=1D', 则 令 B=bP， 
了 返回 给 A。 

问 。 如 果 (0m,q1) 在 列表 > 中 


否则 ，B 随机 选择 8g; eZ;， 


存在 ， 则 B 直接 返回 对 应 的 8;; 
并 返回 给 A， 然 后 将 (m,41,87) 插入 L2。 
Hs 询问 。A 提交 HH(8i,q2;) 询问 。 如 果 g; 在 列表 Ls 中 不 


存在 ， 则 返 日 ; 否则 ， 如 果 (gi, 
直接 返回 对 应 的 ;; 
然后 将 (89 插入 L3。 


否则 ，B 随机 选择 eZ,， 并 返 区 


qi) 在 列表 L3 中 存在 ， 则 B 
给 A， 


KeyGen 询问 。A 提交 身份 IDi。 


a) 如 果 ID, eOw 人 ID; ID*， 
B 直接 返回 (de ,de 给 Ai; 和 否则 ， 


随机 选择 selhp-， 计 算 d=[sJP， 
给 A， 并 将 (ID,dee,dpa0 插入 Lk。 可 以 验证 : 


( dr, dSEM) 返 6 
dSE™ =fiDw —[s;]P = 


(a-[s:)R 。 医 


KeyGen 询问 输出 与 真实 密 钥 生成 算法 输出 的 密 钥 同 分 布 且 


不 可 区 分 。 


b) 如 果 1D,=ID’, B 随机 选择 s;: Ell,p—1], 邻 P=bP， 计 i 


das =[s,]P ， 将 (1D,,dr*, 1) 插入 Lx 


返 世 


仓 


ee 


建 ， 则 B 首先 按照 KeyGen 询 


1; 如 果 A 是 第 2 类 敌手 ， 则 返回 dY 给 A。 
Sign 询问 。A 提交 Sign(D,m,) 询问 。 如 果 1D; 的 私 钥 还 未 


CUD,dee ds 在 Lx 中 存在 ， 
B 通过 Hi 询问 得 到 UD.,t,P)， 
dBEM 二 三 及 -[s,]2 ， 将 


此 ， 从 敌手 的 视角 来 看 ， 


等 : MIBS 方案 的 分 析 与 改进 


(sg0) 插入 L3。 最 后 ，B ; 


且 返 回 签名 


也 就 是 说 ， 


伪造 : 
(ID,m’, qi ,qi,5%) 


如 果 IDzID*vm e606,,，B 终 


CG 


给 A。 


日 不 可 区 分 。 


o 


秆 0;=0Dsm,qisqz5%) 择 入 0。， 并 


后 ，A 
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容易 验证 , 等 式 ;， (4 .gj =e(5,,P):e(P,PBw)” 成 立 。 在 真实 
签名 算法 中 ，92j =e(Bj,P) 。 其 中 ,BjeG | 
独立 于 (两 类 ) 敌 手 的 视角 ， 进 而 4 也 独立 于 敌手 的 视角 。 
从 敌手 的 视角 来 看 ，Sign 询问 的 输出 与 真实 签名 
算法 的 输出 同 分 布 
询问 阶段 结束 以 


SEM 随机 选择 ， 


输出 伪造 签名 ee = 


止 游戏 ， 模 拟 失 败 。 和 否则 ，B 


以 (qi,4) 为 索引 查询 列表 LYL3 取得 ( ,8 ) ， 若 验证 等 式 : 


(qt *q;)” = e(S%,,P):e(Pp., 


Rw)”* 成 立 ， 则 A 赢得 游戏 。 如 果 


(7,8") 在 LyLs 中 不 存在 , 则 终止 游戏 ,模拟 失败 .也 就 是 说 ， 


A 必须 通过 哈 希 询问 取得 (8) ， 
仆人 一 8 人 一 六， 从 而 使 得 敌手 无 法 采 
造 伪造 签名 。 在 真实 世界 


这 就 保证 了 计算 顺序 


] Sign 询问 中 的 方法 构 


ph, 哈 希 预言 机 是 不 存在 的 , 因此 ， 


Sign 询问 中 的 签名 构造 方法 是 无 法 实现 的 ， 这 是 随机 预言 机 


模型 与 真实 世界 的 主要 区 别 。 
如 果 游 戏 没有 终止 ， 且 A 赢得 游戏 。 根 据 分 又 引 理 05， 
B 可 以 构造 算法 A 利用 A 产生 另 一 有 效 签名 
UDP ,gi ,gi,7,8,5%) ， 店 六 8* 尖 8 。 可 以 验证 : 
S% =r EP+rp+tr'e'(d +tdSEM)= @) 
mKP+B )+r*e*(abP) 
SS», = 人 HH (dy +dSEM) = (4) 
r(KP'+P )+r'e'(abP) 
根据 式 (3)(4)，B 计算 : 
CDP=(8 一 8 站 (3 —7*S;) (5) 
作为 对 CDH 问题 的 回答 。 
令 A 赢得 游戏 的 优势 为 Adv%? MA =e ， 那 么 B 赢得 


CDH 挑战 的 优势 为 : 


e'=e+negl() 。 


根据 CDH 假设 , 如 果 B 赢得 CDH 挑战 的 优势 。 是 可 忽 
略 的 ， 那 么 A 赢得 游戏 的 优势 也 是 可 忽略 。 


证 毕 。 


4 ”对 比分 析 


在 安全 性 方 


而 ,本文 mIBSe 方案 实现 了 在 随机 预言 机 模 


型 下 的 可 证 明 安 全 。mIBS 方案 03 则 存在 安全 缺陷 ， 签 名 者 


。 如 果 A 是 第 1 类 敌手 ， 则 


问 的 方法 创建 


户 私 钥 。 如 


果 1D,eOw 人 ^ 1D,zID* ，B 按照 mIBSG 方 案 的 Sign 算法 计算 并 


输出 签名 01=(Domgq5) ， 然 后 将 0 
区 分 两 类 敌手 ， 本 文 分 别 构建 两 种 形式 的 Sign 


1D,=ID", 为 了 
应 答 。 


插入 6。。 如 果 


a) 如 果 A 是 第 1 类 敌手 。B 随机 选择 RjeG 和 儿 e2;， 
计算 4=elbBj,P) ， 通 过 于 oa 询问 获得 8; ， 然 后 计算 


ey kBP,; 让 gjdP™ 9 接 着 随 机 选 


Sn, 三 Tj Suser,j + Ssem.j 9 令 qj; =e(Sn 站， 


(gg,1) 插入 L3。 最 后 ，B 将 0=UDsm,qijw42j,5%) 插 入 O%， 


签名 0 给 A。 


返 匠 
b) 如 


果 A 是 第 2 类 天 性 


择 广 EZ2 和 SSsEM eG, 计算 
P)” “e(R,Pwn) qr} ， 然 后 将 


F 。A 提交 签名 信 令 请 求 


(1D,qij,8jrSwerj) 。 如 果 (41j,8)) 在 列表 Ls 中 不 存在 或 不 匹配 ， 


则 B 返回 上 ; 
Sn Ty Suser,j + Ssem.j 9 令 


92.) 三 e(Sn)， 


否则 ，B 随机 选择 eZ; 和 Ssevwj eG ， 计 算 


P)7 .el(B,Ps) gr ， 


然后 将 


可 以 绕 开 SEM 独立 实施 签名 ， 违 背 了 mIBS 方案 的 设计 初 


囊 。 


计算 开销 方 


而 , mIBSG 方案 与 原 方案 的 对 比如 表 1 所 示 。 


和 中 妃 


举 了 主要 的 计算 开销 ， 


其 中 ，P 表示 双 线 性 对 运算 ， 


H 表示 哈 希 运算 ，M 表示 群 G16, 上 的 乘法 运算 ，A 表示 群 


G1G; 上 的 加 法 运算 ，E 表示 群 6, 上 的 指数 运算 。 在 群 G 上 
和 群 G6, 上 的 乘法 (加 法 ) 运 算 时 间 差别 不 大 ， 因 此 合并 计算 。 
表 1 计算 开销 对 比 
Tab.1 Comparison of computational costs 
Sign Veri 
Algorithms = Dy 
Signer SEM Signature Verifier 
3P+3M+2A+ 2P+2MT+1A， 
ImIBS 2P+1M+1E+1HI+1H2 
1E+1H2 1E+1HIl 
3P+5MT+2A+ ”3P+4MT+2A. 2P+2M+2E+ 
ImIBSG 
2E+1H2+1H3 2E+1HI+1H2 1H1I+1H2+1H3 
从 各 类 计算 开销 来 看 ， 签 名 者 增加 (2M+1E+1H3)，SEM 


增加 (1P+2M+1A+1E+1H2)， 验 证 者 则 


据 文献 [12] 给 


间 约 等 于 1.112ms，1 次 G/6, 上 的 乘法 运算 时 间 约 等 于 


的 实验 环境 和 实验 数 扩 


增加 (1M+1E+1H3)。 根 
昌 : 1 次 双 线 性 对 运算 时 


0.407ms，1 次 G1G, 上 的 加 法 运算 时 间 约 等 于 0.003ms，1 次 
6G, 上 的 指数 运算 时 间 约 等 于 0.131ms。 而 哈 希 函数 的 计算 时 


录用 定稿 陈 


间 相 较 来 说 则 更 低 ， 可 以 忽略 不 计 。 因 此 ， 从 时 间 开 销 上 来 
说 ， 增 加 较 多 的 是 SEM， 总 的 计算 时 间 约 为 5.232ms， 增 加 
约 2.06ms。 


5 ”结束 语 


魏 松 杰 等 人 [2 提出 一 种 mIBS 方案 , 引入 安全 仲裁 SEM 
对 了 BC 域 中 用 户 身份 进行 撤销 管理 和 核验 。 但 是 ,分析 发 现 ， 
该 方案 存在 严重 安全 缺陷 ， 签 名 者 可 利用 与 SEM 的 一 次 正 
常 交 互 , 获取 SEM 持 有 的 部 分 私 钥 。 本 文 提 出 改进 的 mIBSe 
方案 , 并 建立 了 安全 模型 。 新 安全 模型 在 传统 SID-EUF-CMA 
模型 的 基础 上 定义 了 两 类 敌手 ， 分 别 模拟 外 部 攻击 者 和 恶意 
的 签名 者 。 在 新 的 安全 模型 下 ，mIBSG 方 案 的 不 可 伪造 性 被 
规约 为 求解 循环 群 上 的 CDH 问题 ， 实 现 了 可 证 明 安 全 性 。 

总 体 来 看 , mIBS 算法 效率 不 具有 比较 优势 , 后 续 优 化 下 
究 可 以 从 以 下 两 方面 展开 。 第 一 ， 实 际 应 用 中 ， 网 络 延 迟 所 
消耗 的 时 间 远 远大 于 节点 计算 时 间 ， 可 以 考虑 降低 每 次 签名 
的 平均 网 络 延 迟 , 提高 签名 方案 的 整体 效率 。 在 文献 [12] 的 跨 
域 认证 系统 中 ，mIBS 方案 主要 用 于 信息 服务 实体 ISE 的 签 
名 认证 。 对 ISE 来 说 ， 短 时 间 内 多 次 签名 是 比较 常见 的 ， 每 
一 次 签名 就 申请 一 次 签名 信 令 在 实际 应 用 中 没有 必要 ， 既 增 
加 了 SEM 的 负载 也 增加 了 方案 的 总 体 网 络 延迟 。 因 此 ， 在 
mIBSG 方 案 的 基础 上 ， 研 究 实现 多 次 签名 共享 一 个 签名 信 令 
机 制 ,可 以 降低 每 次 签名 的 平均 网 络 延 迟 , 降低 SEM 的 总 体 
负载 ， 提 高 签名 的 整体 效率 。 第 二 ， 引 入 SEM 进行 身份 实时 
撤销 开销 巨大 ， 可 以 考虑 采用 自 证 书 模 式 ， 借 鉴 PKI 方案 的 
思想 ， 构 建 更 加 优化 的 跨 域 认 证 结构 模型 。 
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